近日,360數(shù)字安全集團(tuán)對(duì)外披露,其自主研發(fā)的360多智能體協(xié)同漏洞挖掘系統(tǒng)在安全檢測(cè)中取得突破性進(jìn)展,于OpenClaw平臺(tái)發(fā)現(xiàn)一處高危安全漏洞。該漏洞被命名為“MEDIA協(xié)議Prompt注入繞過(guò)工具權(quán)限泄露本地文件漏洞”,經(jīng)國(guó)家信息安全漏洞庫(kù)(CNNVD)權(quán)威確認(rèn),其影響范圍已波及全球50余個(gè)國(guó)家和地區(qū)。
據(jù)技術(shù)團(tuán)隊(duì)分析,此次發(fā)現(xiàn)的漏洞具有極高隱蔽性與破壞性。由于MEDIA協(xié)議運(yùn)行于輸出后處理層,可完全繞過(guò)平臺(tái)預(yù)設(shè)的工具策略控制機(jī)制,形成安全防護(hù)體系的“盲區(qū)”。更嚴(yán)峻的是,攻擊者無(wú)需獲取高級(jí)權(quán)限,僅憑群聊基礎(chǔ)成員身份即可實(shí)施攻擊,通過(guò)注入惡意指令直接竊取服務(wù)器敏感數(shù)據(jù),為后續(xù)網(wǎng)絡(luò)攻擊鏈條埋下隱患。
數(shù)據(jù)顯示,全球范圍內(nèi)存在超過(guò)17萬(wàn)個(gè)可公開(kāi)訪問(wèn)的OpenClaw實(shí)例存在暴露風(fēng)險(xiǎn)。這些實(shí)例廣泛分布于金融、政務(wù)、能源等關(guān)鍵領(lǐng)域,一旦被惡意利用,可能導(dǎo)致大規(guī)模數(shù)據(jù)泄露、系統(tǒng)癱瘓等嚴(yán)重后果。目前,360數(shù)字安全集團(tuán)已向相關(guān)機(jī)構(gòu)提交漏洞詳情,并協(xié)助制定修復(fù)方案,建議受影響用戶盡快升級(jí)系統(tǒng)版本以消除隱患。
該漏洞的發(fā)現(xiàn)再次凸顯人工智能平臺(tái)安全防護(hù)的復(fù)雜性。專家指出,隨著多智能體協(xié)同技術(shù)的廣泛應(yīng)用,協(xié)議層與權(quán)限控制層的交互漏洞可能成為新型攻擊入口,需構(gòu)建覆蓋全生命周期的動(dòng)態(tài)防御體系。此次事件也為行業(yè)敲響警鐘,強(qiáng)調(diào)在技術(shù)創(chuàng)新過(guò)程中必須同步強(qiáng)化安全基因的植入。
